思科的2014年度安全報告中指出:甲骨文公司的Java技術成為安全問題的主要來源。
根據思科最近的安全報告,在2013年,IT企業面對著各種各樣的網路攻擊和風險。但是,沒有任何一項技術會遭到如此多的吐槽,除了Java。
思科的2014年度安全報告發現,Java佔據了2013年所有安全問題91%的比例。
“在觀測到的網路攻擊中,Java貢獻了大份額的負載值。”來自思科技術部門的技術主管萊維·貢德特向eWEEK(譯註:美國網際網路媒體)透露。
思科的安全威脅研究部門在安全威脅報告中披露了Java的相關資料,該部門在2013年被思科以27億美元收購。
貢德特說道:“我驚訝地發現,Java引發的網路安全攻擊佔據了91%的比例!其中有一些攻擊是利用了Java的‘零時差攻擊’(零時差攻擊,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現並對漏洞進行攻擊的一種形式)漏洞。當然,也有很大一部分則是利用了我們已經知道的Java漏洞。”
思科不是唯一一家發現Java攻擊數量在2013年上升的企業。包括惠普和卡巴斯基實驗室在內的公司也發現Java攻擊在2013年激增。1月15日甲骨文再次推送Java更新,這次更新覆蓋了51個漏洞。
“2013年真是Java漏洞爆發的一年。”貢德特說。
貢德特還提到:“Java漏洞之所以爆發的如此激烈,跟人們不常更新有關。”
由於Java在各作業系統出色的相容性,它受到許多企業和開發者的青睞。
“現在的挑戰在於,由於Java應用數量巨大,因此釋出更新並不是一件容易的事情。而且,補丁常常會破壞應用軟體的功能。”貢德特補充道。
“對於企業使用者,現存的挑戰並非像需要打補丁那麼簡單。”貢德特說。
然而,只發布補丁是不夠的。在2013年,我們就看到了許多起Java零時差攻擊事件的發生,這些漏洞甚至對美國勞工部造成了攻擊,一時間沒有可用的補丁。
除了不用或者禁用Java(這種選擇並不總適合企業使用者),貢德特給出了一些建議。最重要的是在使用者遇到攻擊之前,能夠對使用者行為進行相應的監控。
“舉例來說,使用者請求的web頁面有包括混淆的JavaScript嗎?使用者有因此被重定向到其他頁面嗎?”貢德特說道。
他解釋道:“大多數正規的網站不會使用隱藏的或者混淆的JavaScript。更不會在沒有取得使用者授權的情況下,將使用者定向到其他頁面。”
2013年總體趨勢
在思科的報告中,除了Java漏洞攻擊這一重點外,還指出了行業的其他一些關鍵資料。其中包括2014年網路攻擊數量相較去年整體上升了14%。
更令人吃驚的是,在思科此次選取的30家大型跨國企業中,他們都在2013年訪問過包含惡意軟體的網站。
貢德特說:“我很驚訝地看到,這一比例竟然高達100%,因此現在的問題不是企業會在何時出現安全漏洞,而是企業需要多長時間來意識並防範這一問題,並且進行漏洞修補。“
此外,在2013年,企業面對的另一個安全問題是人力資源問題。思科的報告闡述到,2014年安全領域專家的需求量將突破100萬人次。
貢德特最後說道:“看著我們所經歷的安全威脅,2013年是慘淡的一年。不管你使用什麼工具,如果你沒有合適的員工在崗,那很難確保障資訊保安。”